Eerste Kamer twijfelt aan definitie hacken
De commissie justitie van de Eerste Kamer heeft kritiek op de definitie van hacken in het wetsvoorstel computercriminaliteit II. De commissie zet de kanttekeningen in een brief aan Donner van 20 december 2005.
In het wetsvoorstel vervalt de beveiligingseis voor hacken. In het huidige wetboek van strafrecht geldt bij hacken de voorwaarde dat de hacker een beveiliging doorbreekt. In het wetsvoorstel computercriminaliteit II gaat het echter uitsluitend nog om het binnendringen in een computersysteem zonder toestemming van de eigenaar.
De CDA-fractie in de Eerste Kamer heeft bedenkingen bij het laten vervallen van de beveiligingseis. "De ratio daarvan is immers, dat gebruikers van de middelen van communicatie- en informatietechniek zelf de verantwoordelijkheid dragen voor het zorgvuldig omgaan met de hen ten dienste staande middelen. In het civiele recht is dat een vanzelfsprekendheid. Niemand kan zijn inboedel verzekeren als hij er niet voor zorgt, dat zijn woning deugdelijk is afgesloten."
Ook de fracties van VVD en PvdA vragen zich af of de nieuwe definitie wel verstandig is. "Het moeten doorbreken/omzeilen van enige beveiliging werpt een duidelijke drempel op; de potentiële dader weet hierdoor dat hij zich op verboden terrein gaat begeven. Gaat het laten vallen van deze beveiligingseis niet te zeer ten koste van de kenbaarheid waardoor te snel het risico ontstaat dat personen tijdens het surfen (door bijvoorbeeld een 'deep link' te volgen) op verboden plaatsen terecht komen en zich deswege vervolgd slechts (moeizaam) kunnen verweren met het argument dat de opzet ontbrak? Is het niet beter dit soort situaties te voorkomen door de huidige redactie te handhaven?"
De CDA-fractie vraagt zich bovendien af of nieuwe bepalingen in het wetsvoorstel en met name de strafverzwaringen wel bijdragen aan de bestrijding van criminaliteit. "Het inbreken in computers, het platleggen van netwerken en het verspreiden van virussen en ernstige vormen spam kunnen heel verstorend zijn voor individuele burgers alsmede ook voor de samenleving als geheel. De voorgestelde strafverzwaring van deze daden is begrijpelijk gezien de soms ernstige aard van deze daden. Dit neemt echter niet weg dat strafbaarstelling en strafverzwaring alleen nooit criminaliteit volledig tegen gaan. Het vergroten van de pakkans werkt veel afschrikwekkender." Het CDA vraagt zich af of de capaciteit van politie en justitie wel gelijke tred houdt met de nieuwe wetgeving.
Een ruime meerderheid in de Tweede Kamer stemde voor het wetsvoorstel computercriminaliteit II in september 2005. Ook toen werden vraagtekens geplaatst bij het vervallen van de beveiligingseis maar deze werden door Donner gesust. (Bits of Freedom)
Zijn er ook gevolgen voor peer-to-peer netwerken als KaZaa?
gebruikelijk is in het privaatrecht. Het is weliswaar zo dat
verzekeringsmaatschappijen het een te groot risico vinden om schade
door diefstal te vergoeden als de verzekerde geen adequate maatregelen
heeft getroffen, het laat onverlet dat diefstal uit een onbeveiligde woning
nog steeds diefstal en als zodanig strafbaar is. In die zin is de eis van
beveiliging in het strafrecht zeker _geen_ vanzelfsprekendheid.
De reactie van VVD en PvdA lijkt weliswaar meer hout te snijden, maar ook
vandaag is het mogelijk (door slecht geprogrammeerde sites!) om door
het volgen van een deep link terecht te komen op een pagina die slechts
achter een "beveiliging" toegankelijk zou moeten zijn.
Als de dames en heren senatoren dan iets zinnigs willen opmerken
(amenderen kan men toch niet), dan zou men zich beter kunnen buigen
over de -ook in het huidige wetsvoorstel- nog steeds gammele definitie
van "kwaadaardige programmatuur", waardoor nog steeds niet alle
makers van virussen, wormen, trojaanse paarden juridisch kunnen
worden aangepakt. Voor de liefhebbers: Artikel 350a lid 3 WvSr.
Zijn er ook gevolgen voor peer-to-peer netwerken als KaZaa?
deze definitie ook onmogelijk.. .want als ik op een ftp van
een vriend van mij inlog ben ik eigenlijk ook al een hacker.
. .en dat klopt niet..
voor zorgt, dat zijn woning deugdelijk is afgesloten
ik denk ook dat deze stelling alles zegt. .
Dus als ik onder de nieuwe wet mij toegang verschaf tot andermans
machine zonder zijn toestemming ben ik strafbaar..
stelling:
Ik vind een machine op het bedrijfsnet. Deze ken ik niet (komt niet in mijn
database voor)
Ik neem een kijkje, of ik kan achterhalen wat voor doos het is en waar ie
uithangt. Ik vind een openstaande share, waarop ik a.h.v. documentnamen
(let op: ik hoef ze niet eens te openen, just for the sake of argument) kan
achterhalen dat het de privémachine van een medewerker is, die ik
vervolgens bel om hem (de doos) van het net te laten halen.
Vraag:
Word ik nu aangeklaagd omdat de betreffende persoon mij geen
toestemming had gegeven? En dat terwijl hij een openstaande share
heeft? En dat terwijl het ding in het bedrijfsnet hangt? En dat terwijl dat ding
op de eerste plaats daar al niet eens hoort?
Wat is dit voor krankzinnig voorstel?????
Zijn er ook gevolgen voor peer-to-peer netwerken als KaZaa?
Dat lijkt me niet. Als je KaZaa installeert geef je anderen
toestemming om op je computer te komen. Dan heet het geen
inbreken, maar op visite gaan. (Dat geldt dus ook voor die
ftp-site van een vriend).
naar alle AP's waar die op mag...
Stelletje ranzige debiele digibeten daar bij de overheid (so what else is
new?)
Nou, verbied alle WiFi apparatuur maar, want dat connect uit
zichzelf naar
naar alle AP's waar die op mag...
Je zegt access-points. Daarmee zeg je 'netwerk-apparatuur'
en dus iets interessants..... Waarom?
Steeds meer appliances waaronder netwerk apparatuur bevatten
een microprocessor van een krachtig kaliber. Sommige zelfs
draaien een compleet OS en fungeren voor meer als alleen
'routertje'.
Onder de noemer 'computersysteem' vallen dus vele apparaten
die dus niet eens meer als PC beschouwd hoeven te worden,
maar zelfs je mobieltje is een computersysteem. Sterker nog,
je magnetron is in veel gevallen ook een computersysteem.
Als jij ongevraagt je pizza opwarmt in mijn magnetron, ben
je dus strafbaar. Of had ik dan een hangslot op mijn
magnetron moeten plaatsen. Geef de inbreker de kost
(misschien doe je dat al en heeft hij ook nog je vriezer
geplunderd), die een maaltijd warmt in je eigen magnetron
als je ligt te zonnen op de Bahama's.
Even serieus. Punt is, door alle automatica weet je niet
meer wat een computersysteem is en wat niet. Wanneer is het
ongevraagd? Is het met opzet ongevraagd binnendringen van
een systeem? Wanneer verschuift de lijn van ongevraagd naar
'toegelaten en achteraf ongewenst'?
Als ik via iemand zijn proxy surf, of via iemands WiFi
netwerk connecties maak (zoals Anoniem ook al zei), dan
gebruik ik ongevraagd doch toegelaten en misschien ongewenst
iemands computersysteem in de vorm van een router.
M.a.w. deze wet is te complex nog om daar een dikke grens te
stellen. Hier komen nog veel uitzonderingen op als je het
mij vraagt. Ben benieuwd naar de eerste jurisprudentie hierover.
- Unomi -
'hacken' zelf niet te noemen, wat dat is op zichzelf al zo
ambigu als wat.
Hacken staat namelijk zeker niet altijd synoniem voor
criminieel gedrag.
Maar weer eens een verwijzing naar wikipedia voor een zeer
goede defintie:
http://en.wikipedia.org/wiki/Hacker_%28disambiguation%29
M.a.w. deze wet is te complex nog om daar een dikke grens te
stellen. Hier komen nog veel uitzonderingen op als je het
mij vraagt. Ben benieuwd naar de eerste jurisprudentie hierover.
onduidelijkheid met goede jurisprudentie dan een brakke wet die het
helemaal dichttimmert.
Als jij bv op een wifi netwerk connect waar je niet op had mogen zitten, dan
is het aan justitie om te bewijzen dat jij daar wederrechtelijk (yep) en
opzettelijk was. Het is vreselijk moeilijk om dat laatste te bewijzen, dat ik
daar dus helemaal niet bang voor ben.
Ook het aanklikken van een onschuldig ogende onbeschermde deeplink
zal in de praktijk weinig problemen opleveren. Een link als "Klik hier om het
inlogscherm te omzeilen" is vrij duidelijk opzettelijk wederrechtelijk. Een
link als "Klik hier om verder te lezen" is dat vrij duidelijk niet.
En de definitie van een computer is in artikel 80sexies Sr
opgenomen: "Onder geautomatiseerd werk wordt verstaan een inrichting
die bestemd is om langs elektronische weg gegevens op te slaan en te
verwerken.". Een switch kun je hier onder vatten. Een pizza in een
magnetron opwarmen wordt tricky. (net zoals het openen van een
computerkast geen computervredebreuk is, maar gewoon
huisvredebreuk). :-)
O ja, wat gegevens zijn staat er ook (art 80quinquies Sr): "Onder gegevens
wordt verstaan iedere weergave van feiten, begrippen of instructies, al dan
niet op een overeengekomen wijze, geschikt voor overdracht, interpretatie
of verwerking door personen of geautomatiseerde werken."
stel je maakt een site met mappen waarvan alleen
geauthoriseerde mensen de naam weten. zodoende kunnen dus
alleen die mensen in die mappen vinden.
dit kan je een 'simpele' vorm van beveiliging noemen.
maar als iemand zo dom is geweest directory indexes aan te
zetten en zodoende search engines de locaties van die mappen
laat indexeren en een niets vermoedende internetter via een
zoek machine in die mappen terecht laat komen, is er dan
sprake van het omzeilen van een beveiliging?
niet het antwoord is.
Nu hoeft men ook eens te bedenken dat je nu al een boete kan krijgen
indien je waardevolle spullen zichtbaar in je auto laat liggen (uitlokking) en
dat te vertalen naar wet computer criminaliteit twee en men zal zien dat het
allemaal veel veiliger zal worden, immers men zal moeten kunnen
aantonen dat men afdoende was beveiligd.
Het is vreemd dat het CDA aanpassingen in het strafrecht toetst
aan wat
gebruikelijk is in het privaatrecht. Het is weliswaar zo dat
verzekeringsmaatschappijen het een te groot risico vinden om
schade
door diefstal te vergoeden als de verzekerde geen adequate
maatregelen
heeft getroffen, het laat onverlet dat diefstal uit een onbeveiligde
woning
nog steeds diefstal en als zodanig strafbaar is. In die zin is de eis
van
beveiliging in het strafrecht zeker _geen_ vanzelfsprekendheid.
De reactie van VVD en PvdA lijkt weliswaar meer hout te snijden,
maar ook
vandaag is het mogelijk (door slecht geprogrammeerde sites!)
om door
het volgen van een deep link terecht te komen op een pagina die
slechts
achter een "beveiliging" toegankelijk zou moeten zijn.
Als de dames en heren senatoren dan iets zinnigs willen
opmerken
(amenderen kan men toch niet), dan zou men zich beter kunnen
buigen
over de -ook in het huidige wetsvoorstel- nog steeds gammele
definitie
van "kwaadaardige programmatuur", waardoor nog steeds niet
alle
makers van virussen, wormen, trojaanse paarden juridisch
kunnen
worden aangepakt. Voor de liefhebbers: Artikel 350a lid 3 WvSr.[/
quote]
zucht
bij een diefstal UIT een woning, heb je niet te maken met een
situatie waarin de tv op straat wordt gezet... als je de tv op
straat zet en iemand neemt hem mee, is dat geen diefstal. Bij
computers... als je je harde schijven shared... en iemand vind die
leuke foto's van jou en je vriendin in je slaapkamer zou het wel
diefstal worden... dat is krom... en zeker niet rechtvaardig...
onethisch op zijn meest... maar niet onrechtvaardig, dan moet je
je foto's maar niet op straat leggen... zoals bij die tv ;)
Ze beginnen langzaam maar zeker toch ook door te krijgen dat
repressie niet het antwoord is.
Nu hoeft men ook eens te bedenken dat je nu al een boete kan
krijgen
indien je waardevolle spullen zichtbaar in je auto laat
liggen (uitlokking) en
dat te vertalen naar wet computer criminaliteit twee en men
zal zien dat het
allemaal veel veiliger zal worden, immers men zal moeten kunnen
aantonen dat men afdoende was beveiligd.
Maar agent......., het lag ergens in een hoekje op de
achterbank van mijn Bentley........." (stond geparkeerd in
de PC-Hooft met een gehackte Park-Adammer waarmee "gratis"
geparkeerd kan worden)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.